seguridad en la comunicación de datos
TRANSCRIPT
SEGURIDAD EN LA COMUNICACIÓN DE DATOS
ELABORADO POR: YINIVA HERRERA
CLAUDIO MARTINEZ
SEGURIDAD EN LAS COMUNICACIONESLa seguridad en los computadores implica tres
exigencias que se extienden al sistema de comunicaciones cuando aquellos se integran en este:
a)Secreto: Acceso a la información y recursos sólo a los entes autorizados.
b)Integridad: Modificación de la información y recursos sólo por entes autorizados.
c)Disponibilidad: La información y recursos deben estar disponibles para los entes autorizados.
Generalmente los ataques a la seguridad se dividen en Pasivos y activos Los ataques pasivos son la escucha y divulgación de la
información y el análisis de tráfico. Este último no implica que se conozca el contenido de la información que fluye en una comunicación, per o el conocimiento de ese flujo, volumen, horarios o naturaleza, puede ser información útil.
Los ataques activos comprenden el enmascaramiento, que es la suplantación de un ente autorizado para acceder a información o recursos, la modificación, que incluye también la posible destrucción y creación no autorizada de datos o recursos, y la interrupción, que supone el impedir a entes autorizados su acceso a la información o recursos a los que tienen derecho de acceso.
SEGURIDAD EN LAS COMUNICACIONES
TIPOS DE ATAQUE MÁS COMUNESObtención de
ContraseñasExplotación de errores
de diseño, implementación u operación
Difusión de VirusBombas LógicasJamming o FloodingSpoofing
Tampering o Data Diddling
SnoopingEavesdropping y
Packet Sniffing (husmeo de paquetes)
LAS TRES ÁREAS DE LA SEGURIDADActualmente, cuando las empresas disponen ya de sus
propias redes internas a las que dan acceso a usuarios desde el exterior, los problemas de seguridad se plantean en tres áreas principales:
1. La seguridad de perímetro: protección frente ataques del exterior generalmente basada en cortafuegos.
2. La seguridad en el canal: donde hay que proteger los datos frente a escuchas mediante criptografía.
3. La seguridad de acceso : donde se contemplan tres aspectos, la identificación del usuario, la autorización del acceso y la auditoria de las operaciones realizadas por el usuario.
SEGURIDAD EN LAS COMUNICACIONES
POLÍTICAS DE SEGURIDADUna técnica es la realización de Auditorias de Seguridad. Estas pueden ser llevadas a cabo por personal de la propia empresa o por consultorías externas. Se entre otras las siguientes actividades:
Evaluación de los recursos y la información a proteger.Evaluación d e los sistemas de seguridad implementados y de
aquellos que se podrían implementar.Prueba del estado de la seguridad de la red informática en general
y de cada uno de los sistemas conectados a ella en particular, mediante la ejecución de programas o el empleo d e técnicas que traten de explotar y pongan de manifiesto los posibles agujeros de seguridad.
Elaborar planes de contingencia y seguridad.
LA SEGURIDAD DE UNA RED INFORMÁTICA
Pasa por involucrar o concienciar a todos los usuarios y administradores de sistemas en los temas de seguridad y las implicaciones legales del uso de una red informática. La formación en estos aspectos es tan fundamental como en cualquier otra actividad de la empresa.
LA SEGURIDAD DE UNA RED INFORMÁTICA
Algunas prácticas habituales de usuarios y administradores comprometen gravemente la seguridad como es el caso de:El uso de contraseñas de acceso personales demasiado
evidentes.La cesión de cuentas de usuarios a terceros.El mantenimiento de cuentas de usuario de acceso libre,
a grupos o sin contraseña de acceso.La instalación de programas poco conocidos o mal
mantenidos que pueden aceptar peticiones de la red.La ejecución de programas desconocidos que llegan por
correo electrónico, a través de la red o cualquier otro medio.
LA SEGURIDAD DE UNA RED INFORMÁTICA
SEGURIDAD DE ACCESO
La seguridad de acceso contempla básicamente la identificación del usuario o entidad que desea acceder, la autorización del acceso y la auditoria de las tareas realizadas en el sistema por la entidad que ha accedido. La identificación de usuarios o entidades que acceden se realiza generalmente mediante palabras clave, sistemas de firma digital de los mensajes u otros medios.
Esta identificación incluye a las máquinas involucradas en la comunicación en casos como el comercio electrónico.
SEGURIDAD DE ACCESOUna problemática aún no resuelta por completo es el acceso de usuarios a través de redes extrañas a la empresa. Imagínese el caso de un empleado de una empresa A que visita a otra B y pide permiso a para conectar su computadora portátil a la red de B para acceder a sus datos que residen en A:
a) Para la red B el empleado de A es un elemento completamente extraño y potencialmente peligroso por lo que su acceso a través de su red ha de ser vigilado y limitado.
b) Para el empleado de A la red B es extraña y potencialmente insegura, por lo que su acceso a través de ella es peligroso y se han de poner todos los medios necesarios para proteger la información que se intercambie durante la conexión.
c) Para la red A el empleado será conocido, per la red desde la que accede es potencialmente insegura. Por ello, se han de ex tremar las medidas para identificar correctamente y sin posibilidad de engaño al usuario y su equipo, y otorgarle un acceso temporal para evitar su posterior reutilización por parte de alguien extraño a la empresa.